Log4j ? et Tesla?

[kiwi35]

Hello,

Bon vous savez peut-être que Tesla, comme d'autres, on eu des problèmes avec la brique OpenSource "log4j", qui eu un CVE 10/10 ce week-end ?

Plus d'info là: 

 

 

Maintenant ce que je cherche a savoir c'est QU'EST-CE qui est touché chez Tesla ? Leur backend ? Les véhicules ?... 

Quelle est la gravité de la chose... Est-ce que à distance on peux briquer une Tesla ou juste lui faire afficher des conneries?

Bref... des détails...

 

[Dordrecht]

Le 13/12/2021 à 22:53, kiwi35 a dit :

 

Est-ce que à distance on peux briquer une Tesla ou juste lui faire afficher des conneries?

 

 

Si on peut briquer sa voiture à distance, pense à biper @bobjouy, ça devrait l'intéresser.

[Ben_TM3]

Le 13/12/2021 à 22:53, kiwi35 a dit :

Quelle est la gravité de la chose...

En deux mots, et en simplifiant, cette faille permet de faire exécuter une commande ou adresser une ressource locale ou distante simplement en entrant ladite commande ou l'adresse locale/distante à atteindre au sein d'une chaine de caractères spécifique, à elle-même insérer dans un élément qui sera logué.

 

Une fois l'élément logué, la commande sera exécutée par le serveur. Donc techniquement gravissime.

 

Cependant, pour attaquer à distance une voiture Tesla par cette méthode, il faudrait :

 

• supposer que log4j est exécuté au sein des voitures Tesla
• trouver une ressource distante dont on sait qu'elle sera téléchargée et loguée
• modifier ladite ressource distante pour y intégrer le code à exécuter
• savoir quoi exécuter et dans quel contexte, car sauf erreur de ma part, le code de l'OS Tesla et donc son fonctionnement n'est pas public

 

 

Modifié décembre 13, 2021 par Ben_TM3

[plodey]

Une étude logicielle de le 1ère Model S ne montrait aucun morceau en Java (j'ai plus le lien sous la main mais si besoin je peux le retrouver). C'était essentiellement du Qt (C++) et python sur une base d'Ubuntu fortement personnalisée. 

Et tout bon programmeur sait que si on veut de la performance, on ne choisit pas Java

Modifié décembre 14, 2021 par plodey

[kiwi35]

C'est bien que ce que je pensais...Mettre de javaaaargl dans une voiture c'est un peu l'idée de se prendre de baffes.

Bon peut-être dans le backend sur les serveurs de Tesla... 

Mais j'avoue que j'ai dû mal a comprendre les quelques captures d'écrans que j'ai vu sur Twitter ou l'on voit un écran de Model 3 (ou Y ?) lors de la release du CVE de log4j.

Je me pose la question, car dans ma boite on n'as pas mis de Java pour les mêmes raisons (je sortirais mon véto si jamais ça devais arriver), pour éviter de consommer trop de ressources et avoir des emmerdes.

Bref... 

Bon ceci dis les voitures avec de l'Android (qui est une sorte de JVM bien bricolée) ne sont pas non plus protégées... voire même encore moins vu qu'il faut aller au garage pour upgrader le bidule... Le nombre de zombies informatiques sur les routes... ça me fait peur...

[Remy]

Le 14/12/2021 à 08:54, kiwi35 a dit :

Bon peut-être dans le backend sur les serveurs de Tesla... 

Ce qui pourrait être suffisant pour (faire) envoyer des commandes aux voitures depuis le serveur.

Modifié décembre 14, 2021 par Remy

[amiral_sub]

juste pour préciser: android c'est du linux, mais les app android c'est du java

[MikeFr]

La faille Tesla est avérée et a été utilisée en modifiant le nom de la voiture par la fameuse chaîne ${....}.

Ça ne fait rien à la voiture elle même, mais ça permet d' "attaquer" le serveur Tesla.

Et après... tout est possible.

[xaviervp]

Où ça en est ??????

[Invité]

An update to the log4j library has been released to mitigate against the vulnerability, but patching of all vulnerable machines will take time given the challenges of updating enterprise software at scale.